[Segurança] O roubo cibernético de 80 milhões de dólares e o coração dos bancos

Recentemente vimos a notícia de um grupo ciber criminoso que roubou 81 milhões de dólares do Banco de Bangladesh. A notícia pode ter passada desapercebida por algumas pessoas, principalmente porque foi divulgado que o banco tinha uma infraestrutura muito precária de segurança: em vez de Firewall, eles utilizavam switches baratinhos de segunda mão para conectar a rede deles com a rede SWIFT. Ou seja, aos olhos de muitos, ele "pediu para ser atacado".

Mas, na verdade, este é apenas a ponta do iceberg. Primeiro, porque o banco conseguiu bloquear US$ 870 milhões em transferências que seriam feitas por este grupo (ou seja, o prejuízo poderia ter sido astronomicamente maior). Aparentemente, eles não conseguiram realizar as demais transações por um erro de digitação.

No caso do Banco de Bangladesh, os atacantes conseguiram realizar 5 transferências de fundos via a rede SWIFT, de um total de 30 tentativas, o que representaria um total de quase 1 bilhão de dólares em fraude.

Mas, o principal e mais assustador problema é que por trás do ataque ao Banco de Bangladesh estava um malware customizado, direcionado para a atacar a rede SWIFT, que processa transações interbancárias em tempo real, interligando mais de 9 mil bancos em todo o mundo. Pior ainda, estas transfer6encias costumam ser irreversíveis.  Uma vez instalado no servidor do banco, o malware manipula o client da rede SWIFT (chamado de Aliance Access), o malware acessa o arquivo de configuração do software de mensagens, insere novas ordens de transferência, e oculta seu funcionamento alterando o banco de dados que rastreia as transações e interceptando as mensagens de confirmação, para que os operadores não percebam nenhuma anomalia. Veja mais detalhes sobre o malware aqui.

Após estas notícias, começaram a surgir comentários de que a rede SWIFT está constantemente sobre ataque, principalmente através dos computadores das instituições financeiras que estão conectados a rede da SWIFT. Recentemente, surgiu a notícia de que um segundo banco no Vietnan foi atacado por um malware semelhante ao de Bangladesh, mas o banco em questão, o TP Bank, conseguiu evitar o roubo de 1,36 milhões de dólares. A SWIFT, por sua vez, avisou os bancos e lançou uma atualização de seu software. Os riscos existem não apenas em vulnerabilidades do software, mas também no roubo de credenciais dos funcionários que operam as transferências e na falta de controles de seguraça no acesso entre a rede da instituição financeira e a rede SWIFT.

Segundo a SWIFT, em ambos os ataques, os fraudadores agiram da seguinte forma:

1. Os atacantes comprometem o ambiente do banco;
2. Os atacantes obtem as credenciais dos operadores, que têm a autoridade para criar, aprovar e submeter mensagens SWIFT a partir do back-office dos clientes ou de seus acessos locais para a rede SWIFT;
3. São enviadas mensagens fraudulentas personificando os operadores que tiveram as suas credenciais roubadas;
4. O malware oculta provas, removendo alguns dos traços das mensagens relacionadas as transações fraudulentas.

Os ataques a rede SWIFT são preocupantes, pois os ciber criminosos estão tentando atacar o coração do sistema financeiro: o sistema que processa transações interbancária sem todo o mundo. Esqueça do Internet Banking, isso é pouco comparado com o que os fraudadores podem conseguir com um acesso a rede SWIFT. Por causa do poder potencial que o acesso a rede SWIFT oferece aos atacantes, eles podem facilmente movimentar o dinheiro da conta de uma vítima para outra que eles controlam, mesmo através das fronteiras entre países.

Nota adicionada em 25/06: Este artigo fala um pouco mais sobre alguns casos conhecidos de ataques a rede SWIFT desde 2013.

Nota (adicionada em 30/06): Também foi identificado um roubo de 10 milhões de bancos através da rede SWIFT em um banco na Ucrânia.